Menghubungkan Microsoft AD yang AWS Dikelola ke Microsoft Entra Connect Sync - AWS Directory Service
PrasyaratBuat sebuah Active Directory pengguna domainUnduh Entra Connect SyncJalankan . Windows PowerShell SkripMenginstal Entra Connect Sync

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan Microsoft AD yang AWS Dikelola ke Microsoft Entra Connect Sync

Tutorial ini memandu Anda melalui langkah-langkah yang diperlukan untuk menginstal Microsoft Entra Connect Syncuntuk menyinkronkan Microsoft Entra IDke Microsoft AD yang AWS Dikelola.

Dalam tutorial ini, Anda akan melakukan hal-hal berikut:

  1. Buat pengguna domain Microsoft AD yang AWS Dikelola.

  2. Unduh Entra Connect Sync.

  3. Gunakan Windows PowerShell untuk menjalankan skrip untuk memberikan izin yang sesuai untuk pengguna yang baru dibuat.

  4. Menginstal Entra Connect Sync.

Prasyarat

Anda akan memerlukan yang berikut untuk menyelesaikan tutorial ini:

Buat sebuah Active Directory pengguna domain

Tutorial ini mengasumsikan Anda sudah memiliki iklan Microsoft yang AWS Dikelola serta EC2 Windows Server instance dengan Active Directory Administration Tools diinstal. Untuk informasi selengkapnya, lihat Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

  1. Connect ke instance di mana Active Directory Administration Tools dipasang.

  2. Buat pengguna domain Microsoft AD yang AWS Dikelola. Pengguna ini akan menjadi Active Directory Directory Service (AD DS) Connector account untuk Entra Connect Sync. Untuk langkah-langkah rinci tentang proses ini, lihatMembuat pengguna Microsoft AD yang AWS Dikelola.

Unduh Entra Connect Sync

  • Unduh Entra Connect Sync dari Microsoft situs web ke EC2 instance yang merupakan admin Microsoft AD yang AWS Dikelola.

Awas

Jangan buka atau lari Entra Connect Sync pada titik ini. Langkah selanjutnya akan memberikan izin yang diperlukan untuk pengguna domain Anda yang dibuat di Langkah 1.

Jalankan . Windows PowerShell Skrip

  • Buka PowerShell sebagai Administrator dan menjalankan script berikut.

    Saat skrip sedang berjalan, Anda akan diminta untuk memasukkan sAMAccountNama untuk pengguna domain yang baru dibuat dari Langkah 1.

    catatan

    Lihat berikut ini untuk informasi selengkapnya tentang menjalankan skrip:

    • Anda dapat menyimpan skrip dengan ps1 ekstensi ke folder sepertitemp. Kemudian, Anda dapat menggunakan yang berikut PowerShell perintah untuk memuat skrip:

      import-module "c:\temp\entra.ps1"

    • Setelah memuat skrip, Anda dapat menggunakan perintah berikut untuk mengatur izin yang diperlukan untuk menjalankan skrip, menggantikan Entra_Service_Account_Name dengan Anda Entra nama akun layanan:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
Tampilkan lebih banyakTampilkan lebih sedikit

Menginstal Entra Connect Sync

  1. Setelah skrip selesai, Anda dapat menjalankan unduhan Microsoft Entra Connect (sebelumnya dikenal sebagai Azure Active Directory Connect) file konfigurasi.

  2. A Microsoft Azure Active Directory Connect jendela terbuka setelah menjalankan file konfigurasi dari langkah sebelumnya. Pada jendela Pengaturan Ekspres, pilih Sesuaikan.

    Microsoft Azure Active Directory Connect jendela dengan tombol kustomisasi disorot.

  3. Pada jendela Instal komponen yang diperlukan, pilih kotak centang Gunakan akun layanan yang ada. Masuk SERVICEACCOUNTNAMEdan SERVICEACCOUNTPASSWORD, masukkan AD DS Connector account nama dan kata sandi untuk pengguna yang Anda buat di Langkah 1. Misalnya, jika Anda AD DS Connector account nama adalahentra, nama akun akan menjadicorp\entra. Kemudian pilih Instal.

    Instal jendela komponen yang diperlukan dengan menggunakan akun layanan yang ada dan akun domain yang dipilih, dan nama akun layanan dan kata sandi yang disediakan.

  4. Pada jendela User Sign-in, pilih salah satu opsi berikut:

    1. Pass-through Authentication - Opsi ini memungkinkan Anda untuk masuk ke Active Directory dengan nama pengguna dan kata sandi Anda.

    2. Jangan mengkonfigurasi - Ini memungkinkan Anda untuk menggunakan masuk federasi dengan Microsoft Entra (sebelumnya dikenal sebagai Azure Active Directory (Azure AD)) atau Office 365.

      Kemudian pilih Berikutnya.

  5. Pada Connect ke Azurejendela, masukkan nama pengguna dan kata sandi Administrator Global Anda untuk Entra ID dan pilih Berikutnya.

  6. Pada jendela Connect your directory, pilih Active Directoryuntuk DIRECTORYTYPE. Pilih hutan untuk iklan Microsoft AWS Terkelola Anda FOREST. Kemudian pilih Tambahkan Direktori.

  7. Kotak pop-up muncul meminta opsi akun Anda. Pilih Gunakan akun AD yang ada. Masukkan AD DS Connector account nama pengguna dan kata sandi yang dibuat di Langkah 1 dan kemudian pilih OK. Kemudian pilih Berikutnya.

    Kotak pop-up akun hutan AD dengan penggunaan akun AD yang ada dipilih dan nama pengguna dan kata sandi domain yang disediakan.

  8. Pada Azure AD Jendela masuk, pilih Lanjutkan tanpa mencocokkan semua UPN sufiks dengan domain terverifikasi, hanya jika Anda tidak memiliki domain vanity terverifikasi yang ditambahkan ke Entra ID. Kemudian pilih Berikutnya.

  9. Pada jendela pemfilteran domain/OU, pilih opsi yang sesuai dengan kebutuhan Anda. Untuk informasi selengkapnya, silakan lihat Entra Connect Sync: Konfigurasikan penyaringan di Microsoft dokumentasi. Kemudian pilih Berikutnya.

  10. Pada jendela Mengidentifikasi Pengguna, Pemfilteran, dan Fitur Opsional, pertahankan nilai default dan pilih Berikutnya.

  11. Pada jendela Konfigurasi, tinjau pengaturan konfigurasi dan pilih Konfigurasi. Instalasi untuk Entra Connect Sync akan selesai dan pengguna akan mulai melakukan sinkronisasi dengan Microsoft Entra ID.